常用命令
杂项 :
exit //退出当前shell
cls //清屏
:: //只在bat文件实现了效果
COMMAND /? //命令帮助
help COMMAND
systeminfo | findstr KB //查看系统信息 | 过滤出打的补丁
net view //查看局域网中正在运行的计算机
net share //查看本地开启的共享
eventvwr //打开事件查看器
taskmgr //打开任务管理器
msconfig //系统配置实用程序,找启动项
regedit //打开注册表
lusrmgr.msc //打开本地用户 组
%UserProfile%\Recent //查看用户的操作记录
# 在安全模式下
加载桌面:explorer
进程管理
taskkill /f /im 进程名 //杀进程
tasklist //看进程
process //查看进程对应的文件位置
操作目录文件
cd d:\home\123\ //不区分大小写
cd ..
cd \ //类似两个盘有两个根,在C盘执行就是回到C盘的根目录
cd 切换盘符,需要单独在输入盘符名称生效 d:
// 如下操作类似linux
chdir <==> pwd
dir 1.txt <==> ls 1.txt
dir /s 1.txt //这可以用来在整个盘遍历叫1.txt的文件;找他的绝对路径
echo 123456 >> 1.txt
type 1.txt //读取文件内容
copy 1.txt 2.txt
del 1.txt 直接删除不会在回收站
mkdir TestDir
del 1dir //在del DIR的时候,输出是*通配,但是只删除了下级目录的文件,目录没有被删
rmdir /S /Q 1dir <==> rm -rf 1dir
attrib -r -h -s 1.txt //管理员删除不掉文件 取消掉属性在删除
用户管理
whoami //当前执行用户
// 用户查看 创建和删除 激活
net user
net user USERNAME PASSWD /add
net user USERNAME /delete
net user administrator /active:yes
// 用户USERA加入管理员组
net localgroup administrators USERA /add
文件权限管理
查看输出的内容每行末尾有字母表示不同用户对文件的权限:
"F"表示完全控制,"C"表示更改,"W"表示写入."R"表示读取
如下还不清楚:
CI表示ACE会由目录继承.
OI表示ACE会由文件继承.
IO表示ACI不适用于当前文件或目录.
# 为目录设置所有权限
echo y|cacls "C:\wmpub" /t /p everyone:f
# 创建一个admin 用户
net user USERA 123456 /add
net localgroup administrators USERA /add
cacls FILE_PATH //查看权限
cacls FILE_PATH /t /e /c /g everything:F //修改为everything都有F完全控制权限,其他参数代表了递归,免交互的参数
echo y|cacls "C:\wmpub" /t /p everyone:f
危险
cacls c: /t /e /c /g everything:F
cacls d: /t /e /c /g everything:F
网络
tracert IP
arp -a //查看
arp -d //删除
arp -s //添加
ipconfig /all //全部信息
开启远程
开启远程和修改远程端口
远程端口的配置在修改时有两处:00000d3d是16进制的3389
echo Windows Registry Editor Version 5.00 >> 3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >> 3389.reg
echo "fDenyTSConnections"=dword:00000000 >> 3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >> 3389.reg
echo "PortNumber"=dword:00000d3d >> 3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >> 3389.reg
echo "PortNumber"=dword:00000d3d >> 3389.reg
regedit /s 3389.reg
del 3389.reg
其他常用变量
| 变量名 | 解释 |
|---|---|
| %ProgramData% | C:\ProgramData |
| %ProgramFiles% | C:\Program Files |
| %ProgramFiles(x86)% | C:\Program Files (x86) |
| %Path% | 系统环境变量 |
| %windir% | C:\WINDOWS |
| %LOCALAPPDATA% | C:\Users\用户名\AppData\Local |
| %USERPROFILE% | C:\Users\用户名 |
| %SystemRoot% | C:\WINDOWS |
| %SystemDrive% | C: |
| %APPDATA% | C:\Users\用户名\AppData\Roaming |
| %CD% | 列出当前目录 |
| %USERPROFILE% | C:\Users\用户名 |
| %DATE% | |
| %UserProfile%\Recent | 记录了用户的操作记录 |
常见的目录文件
系统所在的目录 C:\Windows\
存放系统的配置文件 C:\Windows\System32
系统日志目录,存放系统日志 C:\PerfLogs
默认的64位程序安装目录 C:\Program files
默认的32位程序安装目录 C:\Program files(x86)
域名解析:C:\Windows\System32\drivers\etc\hosts
密码文件:C:\Windows\System32\config\SAM
日志文件:要打开事件查看器 eventvwr 查看
安全日志文件 C:\Windows\system32\config\secevent.EVT
系统日志文件 C:\Windows\system32\config\sycevent.EVT
应用程序日志文件 C:\Windows\system32\config\Appevent.EVT
FTP连接和httpd事务日志 C:\Windows\system32\logfiles
事件ID: 4624表示登录成功的用户,4625表示登录失败的用户
有关注册表
有关windows信息的数据库
CMD运行 – regedit
HKEY_USERS:管理系统用户信息
HKEY_CLASSES_ROOT:管理文件系统
HKEY_CURRENT_USER:管理系统当前的用户信息
HKEY_LOCAL_MACHINE:管理系统当前的硬件配置
HKEY_CURRENT_CONFIG:管理当前用户的系统配置
关于 svchost.exe
这个进程本身是win系统启动的,为了就是调用动态库而启动的一个进程。也就是说,启动某个服务后,它为了调用本身不能运行需要依靠exe程序而运行的动态库文件ddl文件,而启动的一个进程叫 svchost.exe
这类型的进程不要 轻易的杀掉,因为这个进程可能是系统调用,误操作容易把OS干崩溃, 参考链接
Svchost.exe一般位于%systemroot%\system32目录里,如果启用了DllCache功能,还可能备份在%systemroot%system32\dllcache目录下,另外,如果WindowsService Pack不是使用集成安装的,也就是不是集成SP补丁包的而是通过微软更新的,那么还可能存在于%systemroot%\ServicePack目录下。除此之外Svchost.exe不应该存在其它目录下,如果存在,那么这个Svchost.exe可能不是系统自带的而是一种病毒等一些而已软件生成的,请小心检查。特别是一些木马经常使用这个程序来进行伪装运行在内存中。
应用自启动 或 注册表启动,或服务 启动项 启动
什么是启动项:就是开机自动的程序
84
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
